EDR与AF联动操作经验文档

一、文档概述

若用户需要使用从AF下发病毒查杀及僵尸网络域名访问进程取证，使用AF与EDR联动可实现该需求。以下为详细配置过程。

二、操作步骤

步骤一：EDR设置

登录EDR控制台路径【系统管理】－【系统设置】－【基本设置】－下拉找到【联动设备准入设置】勾选该功能，点击保存。

步骤二：AF设置

登录AF平台，控制台路径【下一代安全防护体系】－【/网端联动】－【网端联动接入设置】下拉找到【联动设备准入设置】-点击【本地EDR管理平台接入】

输入EDR的IP地址，输入完成后点击立即启用

步骤三：验证效果

联动成功后可看到服务状态，接入EDR终端数，如下图

三、操作影响范围

无

三、注意事项

1、使用联动功能需要先查看下EDR授权是否正确。具体版本需求看FAQ3。

2、从标准版本AF8.0.6开始，EDR支持和AF联动.

3、在标准版本AF8.0.6之前，EDR暂不支持和AF联动。

四、FAQ

FAQ1、联动下发病毒查杀

当AF识别到风险终端时，可联动EDR进行查杀。在AF平台的【运行状态】-【用户安全】页

签下，可实现针对发现的风险终端联动EDR进行病毒查杀、对识别到的威胁文件进行

隔离、信任等操作，联动页面如下图所示。

FAQ2、联动举证访问僵尸网络进程

EDR能够记录终端访问的域名及访问域名的进程，当AF上发现僵尸网络日志时，可

联动EDR进行举证、溯源，帮助用户有效举证终端访问僵尸网络域名的具体进程及进

程关联文件。在AF平台的【运行状态】-【用户安全】页签下，可查看具体风险终端对应的【终

端取证可疑文件】，即是AF联动EDR进行僵尸网络举证的结果，如下图所示。

FAQ3、EDR联动AF授权要求

①针对AF授权：截止标准版本AF8.0.69，不需要AF有单独的授权

②针对EDR平台的授权：

EDR3.5.6之前版本，EDR联动AF需要EDR平台有智响应的授权

EDR3.5.6-EDR3.5.24版本，EDR联动AF需要EDR平台有PC高级版授权、服务器旗舰版授权

EDR3.5.30及之后版本，EDR联动AF需要EDR平台PC高级版授权或PC全量版授权、服务器旗舰版授权或服务器全量版授权

多谢分享，有助于工作。

楼主分享的案例很实用，具有典型性

每天学习一点点，每天进步一点点

感谢分享，有助工作和学习！

感谢分享~~~~~~~~~~~~~~~~~~~~

楼主的文章图文并茂，清晰易懂，看完这波操作可以轻松上手了，如遇到问题再向楼主请教~

楼主分享的案例很实用，具有典型性，希望有更多这样的干货供我们学习参考，非常感谢！

感谢分享                                                                  

楼主分析的很详细，不错的实战经验